European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Mitä pitää tehdä tietoturvaloukkauksen sattuessa?

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai pääsyyn niihin.

  • Jos tietoturvaloukkaus aiheuttaa riskin kohteeksi joutuneille henkilöille, sinun on ilmoitettava siitä tietosuojaviranomaiselle 72 tunnin kuluessa siitä, kun loukkaus on tullut ilmi.
  • Jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin henkilöille, sinun on myös ilmoitettava loukkauksesta asianomaisille henkilöille ilman aiheetonta viivytystä.

Joka tapauksessa kaikista tietoturvaloukkauksista – myös niistä, joista ei ole ilmoitettu tietosuojaviranomaiselle – on dokumentoitava vähintään perustiedot siitä, mitä on tapahtunut, loukkauksen vakavuuden arviointi, sen vaikutukset sekä toimenpiteet, joihin on ryhdytty.
 

 Lisätietoja:

Miten huomioin ihmisten tietosuojaoikeudet?

Yleisessä tietosuoja-asetuksessa säädetään ihmisten oikeuksista, joita on kunnioitettava. Tee näin:

  • kerro henkilöille, joiden tietoja käsittelet, käsittelytoimistasi ja käsittelytarkoituksistasi, kun keräät heidän tietojaan. Voit kertoa henkilötietojen käsittelystä esimerkiksi verkkosivuillasi olevan tietosuojaselosteen avulla.
  • vastaa henkilöiden tietosuojaoikeuksia koskeviin pyyntöihin, kuten pyyntöön saada tutustua tietoihinsa, vastustaa henkilötietojensa käsittelyä tai oikaista, poistaa tai siirtää tiedot järjestelmästä toiseen.

Organisaatiot, jotka ovat avoimia henkilötietojen käytöstään ja jotka kunnioittavat ihmisten oikeuksia, joutuvat vähemmän todennäköisesti valitusten kohteeksi.

Lisätietoja:

Haluatko käyttää rekisteröityjen oikeuksia (poistaminen, korjaaminen, pääsy) Schengenin tietojärjestelmässä (SIS) oleviin henkilötietoihin?

Euroopan tietosuojaneuvostoon kuuluva koordinointivalvontakomitea koordinoi Schengenin tietojärjestelmässä (SIS) tapahtuvan henkilötietojen käsittelyn valvontaa. Asiaa koskeva EU:n lainsäädäntö on asetus (EU) 2018/1862 (erityisesti 71 artikla) ja asetus (EU) 2018/1861 (erityisesti 57 artikla).

Sinulla on oikeus tutustua SIS-järjestelmään tallennettuihin henkilötietoihin, oikaista niitä ja poistaa ne. Näitä oikeuksia ovat muun muassa seuraavat:

  • oikeus tietää, käsitelläänkö sinua koskevia tietoja SIS-järjestelmässä;
  • oikeus tutustua näihin tietoihin;
  • oikeus virheellisten tietojen oikaisemiseen tai poistamiseen, jos tiedot on tallennettu lainvastaisesti; ja
  • Oikeus saattaa asia tuomioistuimen, tietosuojaviranomaisen ja/tai toimivaltaisen viranomaisen käsiteltäväksi sinua koskevien tietojen oikaisemiseksi tai poistamiseksi tai korvauksen saamiseksi.

Jos haluat käyttää oikeuksiasi, ota yhteyttä valitsemasi Schengen-maan kansalliseen toimivaltaiseen viranomaiseen. Lisätietoja kunkin Schengen-maan kansallisista toimivaltaisista viranomaisista ja tietosuojaviranomaisista on rekisteröityjenoikeuksien käyttämistä koskevassa oppaassa, joka on saatavilla verkkosivustollamme. Sieltä löydät myös mallikirjeitä, jotka auttavat sinua oikeuksien käyttämisessä. 

Tietosuojaneuvostolla ei ole toimivaltaa käsitellä yksittäisiä valituksia tai pyyntöjä. Tietosuojaneuvostolla ei myöskään ole pääsyä näiden tietojärjestelmien ja tietokantojen sisältöön.

Lisätietoja oikeuksien käyttämisestä on saatavilla verkkosivustolla https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_fi.

Miten pysyn Euroopan tietosuojaneuvoston työn tasalla?

Tietosuojaneuvosto julkaisee säännöllisesti tiedotteita, uutisia, blogeja ja muuta sisältöä verkkosivustollaan ja sosiaalisen median kanavissaan (Twitter: @EU_EDPB; LinkedIn: Euroopan tietosuojaneuvosto) pitääkseen tietosuojayhteisön ja suuren yleisön ajan tasalla työstään.

Tietosuojaneuvoston verkkosivustolla on myös kaksi RSS-syötettä, joista voit tilata päivityksiä tietosuojaneuvoston uutisista ja uusimmista julkaisuista.

Mikä on EU:n yleinen tietosuoja-asetus?

Yleinen tietosuoja-asetus (GDPR) luo yhdenmukaiset säännöt, joita sovelletaan kaikkeen henkilötietojen käsittelyyn, jota suorittavat Euroopan talousalueella (ETA) sijaitsevat organisaatiot tai joka kohdistuu yksityishenkilöihin EU:ssa. Tietosuoja-asetusta sovelletaan niin julkisen kuin yksityisen sektorin organisaatioihin niiden koosta riippumatta. Yleisen tietosuoja-asetuksen ensisijaisena tavoitteena on varmistaa, että henkilötiedoilla on sama korkeatasoinen suoja kaikissa EU- ja ETA-maissa. Tämä vahvistaa sekä yksilöiden että tietoja käsittelevien organisaatioiden oikeusvarmuutta ja tarjoaa korkeatasoisen suojan ihmisille.

Asetus tuli voimaan 24.5.2016, ja sitä on sovellettu 25.5.2018 alkaen.
 

What are my rights under the GDPR?

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

  • Right to be informed
  • Right of access
  • Right to rectification
  • Right to restriction of processing
  • Right to data portability
  • Right to object
  • Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Sovelletaanko tietosuoja-asetusta myös paperiasiakirjoihin?

Kyllä, yleistä tietosuoja-asetusta sovelletaan, jos henkilötiedot on sisällytetty tai ne on tarkoitus sisällyttää osaksi rekisteriä. Tämä tarkoittaa, että tietosuoja-asetusta sovelletaan myös paperiasiakirjoihin, ei pelkästään automatisoituun henkilötietojen käsittelyyn.

Lisätietoja:

Mikä on yhteisrekisterinpitäjä?

Kun kaksi tai useampi rekisterinpitäjää määrittää yhdessä henkilötietojen käsittelyn tarkoituksen ja keinot, niitä pidetään yhteisrekisterinpitäjinä. Ne päättävät yhdessä käsitellä henkilötietoja yhteistä tarkoitusta varten. Yhteisrekisterinpito voi olla monenlaista, ja eri rekisterinpitäjien roolit voivat olla erilaisia. Yhteisrekisterinpitäjien on sen vuoksi määriteltävä keskinäiset vastuunsa.

On tärkeää huomata, että yhteisrekisterinpitäjyys johtaa yhteiseen vastuuseen.

  • Esimerkki yhteisrekisterinpitäjyydestä: Yritykset A ja B ovat julkaisseet yhdessä brändätyn tuotteen ja haluavat järjestää tapahtuman tuotteen markkinoimiseksi. Tätä varten ne päättävät jakaa keskenään tietoja asiakastietokannoistaan ja päättävät tapahtumaan kutsuttavista henkilöistä sen perusteella. Ne sopivat myös säännöistä kutsujen lähettämiseksi tapahtumaan, palautteen keräämisestä ja jatkomarkkinointitoimista. Yrityksiä A ja B voidaan pitää yhteisrekisterinpitäjinä myynninedistämistapahtuman järjestämiseen liittyvien henkilötietojen käsittelyssä, koska ne päättävät yhdessä tietojenkäsittelyn yhteisesti määritellystä tarkoituksesta ja keinoista tässä yhteydessä.

Lisätietoja:

Järjestän tapahtuman osana liiketoimintaani. Voinko ottaa kuvia ja videoita tapahtumasta ja osallistujista?

Kyllä voit, mutta sitä varten sinun on ensin määritettävä tämän henkilötietojen käsittelyn oikeusperuste. Tietojen käsittelyä voidaan esimerkiksi pitää organisaation oikeutettuna etuna. Kun henkilötietoja käsitellään oikeutetun edun perusteella, on aina tehtävä tasapainotesti sen määrittämiseksi, ylittävätkö oikeutetut etusi yksilön oikeudet, erityisesti jos kyseessä on lapsi.

Toinen mahdollinen oikeusperuste tällaiselle henkilötietojen käsittelylle voisi olla suostumus. Joka tapauksessa henkilöille on aina ilmoitettava etukäteen, että tapahtumaa kuvataan.

Lisätietoja:

Jos haluan tallentaa työnhakijoiden ansioluettelot tulevia rekrytointiprosesseja varten, onko minun pyydettävä heiltä suostumus?

Suostumus voi olla pätevä peruste työnhakijoiden ansioluetteloiden tallentamiselle. Toinen mahdollinen käsittelyperuste voisi olla oikeutettu etu. Tällöin sinun on suoritettava tasapainotesti, jolla osoitat, että organisaatiosi oikeutetut edut ylittävät työnhakijoiden oikeudet.

Sinun on joka tapauksessa kerrottava työnhakijoille, että aiot tallentaa heidän tietojaan ja mihin tarkoituksiin ne tallennetaan.

Lisätietoja:

Kirjoitatko EU:n ulkopuolisesta maasta, jonka on tunnustettu tarjoavan riittävän tietosuojan tason (tietosuojan riittävyyttä koskevat päätökset)?

Euroopan komissio voi päättää, tarjoaako Euroopan ulkopuolinen maa (tai kansainvälinen järjestö) ”riittävän” tietosuojatason, joka helpottaa tiedonsiirtoa Euroopan ja kyseisen maan välillä. 

Tietosuojaneuvoston tehtävänä on antaa lausuntoja tietosuojan riittävyyttä koskevista päätösluonnoksista ennen Euroopan komission päätöstä. Lausunnot eivät sido Euroopan komissiota, mutta niistä on yleensä hyötyä muille tässä yhteydessä kuultaville organisaatioille, kuten EU:n jäsenvaltioille.

Lisäksi Euroopan komissiolla on toimivalta seurata Euroopan ulkopuolisissa maissa tapahtuvaa kehitystä, joka voi vaikuttaa tietosuojan riittävyyttä koskeviin päätöksiin. Joissakin tietosuojan riittävyyttä koskevissa päätöksissä säädetään päätöksen uudelleentarkastelun erityisestä sääntöjenmukaisuudesta, ja niissä voidaan viitata tietosuojaneuvoston edustajien mahdollisuuteen osallistua Euroopan komission järjestämään uudelleentarkasteluprosessiin.

Huomaa myös, että Euroopan tietosuojaviranomaiset voivat suojella yksilöitä tietosuojan riittävyyttä koskevan päätöksen yhteydessä tehtävien tiedonsiirtojen yhteydessä (luettelo niistä on verkkosivustollamme: https://edpb.europa.eu/about-edpb/our-members).

Jos katsot, että voimassa oleva tietosuojan riittävyyttä koskeva päätös ei ole yksityisyyttä ja tietosuojaa koskevien yksilön perusoikeuksien mukainen, voit tehdä valituksen tietosuojaviranomaisellesi, joka voi esittää nämä väitteet kansallisessa tuomioistuimessa, jota voidaan vaatia esittämään ennakkoratkaisupyyntö unionin tuomioistuimelle (ks. yleisen tietosuoja-asetuksen 58 artiklan 5 kohta ja unionin tuomioistuimen tuomio Schrems (asia C-362/14)).

Lisätietoja on osoitteessa https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_fi

The deadline for submitting comments to a public consultation has expired, can I still submit comments?

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

Voinko käsitellä henkilötietoja vain silloin, kun minulla on henkilön suostumus?

Henkilötietojen käsittely on sallittua, jos sille on oikeusperuste. Vapaaehtoisen, yksilöidyn, tietoisen ja yksiselitteisen suostumuksen lisäksi voidaan käyttää muitakin käsittelyperusteita.
Toisin sanoen suostumus on tarpeen, kun mitään muuta oikeusperustetta ei voida soveltaa.

Lisätietoja:

Pitääkö minun sertifioitua, jotta voin toimia tietosuojavastaavana?

Ei, sinun ei tarvitse sertifioitua toimiaksesi tietosuojavastaavana.

Tietosuojavastaavan on kuitenkin kyettävä osoittamaan, että hänellä on yleisen tietosuoja-asetuksen edellyttämä pätevyys, kuten asiantuntemus tietosuojalainsäädännöstä ja -käytännöistä.
 

Lisätietoja:

Mikä on tietosuojaa koskeva vaikutustenarviointi ja milloin sen tekeminen on pakollista?

Tietosuojaa koskeva vaikutustenarviointi on kirjallinen arviointi, joka organisaation on tehtävä suunnitellun käsittelytoimen vaikutusten arvioimiseksi. Sen avulla voidaan tunnistaa tarvittavat toimenpiteet riskeihin puuttumiseksi ja osoittaa, että tietosuojavaatimuksia noudatetaan.
On aina suositeltavaa ennakoida suunnitellun henkilötietojen käsittelyn vaikutusta vaikutustenarvioinnin avulla. Tietosuojan vaikutustenarvioinnin tekeminen on kuitenkin pakollista vain, jos käsittely todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille.

Vaikutustenarviointi täytyy tehdä silloin, kun suunniteltuun käsittelyyn liittyy

  • arkaluonteisten henkilötietojen tai rikostuomioihin liittyvien tietojen laajamittaista käsittelyä  
  • henkilön henkilökohtaisia ominaisuuksia arvioidaan järjestelmällisesti ja laajasti automaattisen käsittelyn avulla (esim. profilointi), ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi
  • yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti.

Tietosuojaneuvosto on laatinut ohjeen kriteereistä, jotka sinun on otettava huomioon kun arvioit, onko tietosuojan vaikutustenarviointi pakollinen vai ei. Kansalliset tietosuojaviranomaiset ovat myös julkaisseet luettelot käsittelytoimista, joista on tehtävä tietosuojan vaikutustenarviointi. Lisäksi useat tietosuojaviranomaiset ovat kehittäneet oppaita, ohjelmia tai itsearviointityökaluja, jotka auttavat arvioinnin tekemisessä.

Lisätietoja:

Mitkä ovat yleisen tietosuoja-asetuksen mukaiset henkilötietojen käsittelyperusteet?

Rekisterinpitäjät voivat käsitellä henkilötietoja vain seuraavissa tilanteissa:

  • henkilöin suostumuksella
  • jos käsittely on tarpeen sopimuksen täytäntöön panemiseksi (organisaation ja yksityishenkilön välinen sopimus)
  • EU:n tai kansallisen lainsäädännön mukaisen lakisääteisen velvoitteen täyttämiseksi
  • käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi EU:n tai kansallisen lainsäädännön mukaisesti
  • yksilön elintärkeiden etujen suojaamiseksi
  • organisaation oikeutetun edun perusteella, paitsi silloin, kun yksilöiden oikeudet ja vapaudet syrjäyttävät ne.

Lisäksi yleisessä tietosuoja-asetuksessa asetetaan lisäehtoja arkaluonteisten tietojen käsittelylle.

Lisätietoja:

Onko myös henkilötietojen käsittelijöiden noudatettava tietosuoja-asetusta?

Kyllä, yleisessä tietosuoja-asetuksessa on velvoitteita henkilötietojen käsittelijöille (eli niille, jotka käsittelevät tietoja rekisterinpitäjän lukuun). Rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuissa on kuitenkin joitakin eroja.

Henkilötietojen käsittelijöiden on noudatettava rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa määriteltyjä velvollisuuksia. Sopimuksessa määritellään yksityiskohtaisesti käsittelytoimet ja keinot henkilötietojen käsittelyyn. Henkilötietojen käsittelijän on esimerkiksi käsiteltävä henkilötietoja asianmukaisin teknisin ja organisatorisin toimenpitein rekisterinpitäjän ohjeiden mukaisesti. Näin henkilötietojen käsittelijä tukee rekisterinpitäjää tietosuojasäännösten noudattamisessa.

Lisätietoja:

Mitä rekisterinpitäjän ja henkilötietojen käsittelijän väliseen sopimukseen tulisi sisältyä?

Rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa on määriteltävä, että henkilötietojen käsittelijä:

  • käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti. Tämä koskee myös henkilötietojen siirtoa ETA-maiden ulkopuolelle.
  • varmistaa, että henkilöt, joilla on valtuudet käsitellä tietoja, ovat sitoutuneet luottamuksellisuuteen tai että heillä on asianmukainen lakisääteinen salassapitovelvollisuus
  • varmistaa käsittelyn turvallisuuden
  • ei saa käyttää toista henkilötietojen käsittelijää ilman rekisterinpitäjän etukäteen antamaa kirjallista lupaa
  • auttaa rekisterinpitäjää täyttämään velvoitteet ihmisten tietosuojaoikeuksia koskeviin pyyntöihin vastaamisessa
  • avustaa rekisterinpitäjää henkilötietojen turvallisessa käsittelyssä, tietoturvaloukkauksista ilmoittamisessa ja tietosuojan vaikutustenarviointien tekemisessä
  • poistaa tai palauttaa rekisterinpitäjälle kaikki henkilötiedot rekisterinpitäjän päättämällä tavalla, kun palvelujen tarjoaminen päättyy
  • asettaa rekisterinpitäjän saataville kaikki tiedot, joilla voidaan osoittaa, että tietosuoja-asetuksen velvoitteita noudatetaan
  • mahdollistaa tarkastukset ja osallistuu niihin. Niitä voivat olla esimerkiksi rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman tilintarkastajan suorittamat tarkastukset.

Lisäksi henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos se katsoo ohjeiden rikkovan yleistä tietosuoja-asetusta tai muita EU:n tai kansallisia tietosuojasäännöksiä.

Lisätietoja:

Voinko siirtää henkilötietoja Euroopan talousalueen (ETA) ulkopuolelle?

Yleisen tietosuoja-asetuksen perusteella on periaatteessa kaksi pääasiallista tapaa siirtää henkilötietoja Euroopan talousalueen ulkopuoliseen maahan tai kansainväliselle järjestölle. Ensisijaisesti siirrot voidaan tehdä tietosuojan riittävyyttä koskevan päätöksen perusteella. Jos tietosuojan riittävyyspäätöstä ei ole, voidaan tietoja siirtää asianmukaisten suojatoimien nojalla. Niihin sisältyy täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja yksityishenkilöille. Tiedonsiirtoperusteet määritellään tietosuoja-asetuksessa.  

Lisätietoja:

Onko tietosuojavastaava vastuussa yleisen tietosuoja-asetuksen noudattamisesta?

Tietosuojavastaavan ei voida katsoa olevan vastuussa yleisen tietosuoja-asetuksen rikkomisesta. Tietosuoja-asetuksen noudattaminen on tietosuojavastaavan nimittäneen organisaation vastuulla.

Lisätietoja: